Fragen

Aird
Erstie
Erstie
Beiträge: 13
Registriert: 12. Feb 2006 18:47

Fragen

Beitrag von Aird » 29. Sep 2007 18:18

Hi,

ein paar kurze Fragen:

UMTS

Wie schliesst man aus der Sequenznummer auf die Benutzeridentität?

Bluetooth

Woher kommt die Random fuer die Verschlüsselung und wie berechnet man aus dem ACO die COF?

Der Handshake aus den Folien ist ja die Authentifikation, laut Buch reicht eine Richtung, aber man kann auch das Ganze wechselseitig laufen lassen; falls man dies wechselseitig tut, hat man ja auch jedesmal unterschiedliche ACO Werte und somit keine eindeutige Zuweisung des ACO(bzw COF) für die Verschlüsselung. Welchen ACO Wert nimmt man dann fuer den COF?

Das White Paper zu Simple Pairing (http://www.bluetooth.com/NR/rdonlyres/0 ... V10r00.pdf)
ist recht neu.
Wie funktioniert das Pairing für alte Bluetooth Geräte ohne Eingabe/Ausgabe ?

db
DON'T PANIC
Beiträge: 42
Registriert: 18. Apr 2007 00:37

Re: Fragen

Beitrag von db » 30. Sep 2007 15:31

Hi!

Ich hoffe, ich kann dir da ein wenig weiter helfen...
UMTS

Wie schliesst man aus der Sequenznummer auf die Benutzeridentität?
An welcher Stelle möchtest du denn aus der Sequenznummer auf die Benutzeridentität schließen?
Bluetooth

Woher kommt die Random fuer die Verschlüsselung und wie berechnet man aus dem ACO die COF?
Die Random für die Erzeugung des Encryption Keys kommt vom Master und wird per Control Message an den Slave geschickt. COF ist normalerweise einfach ACO. Falls der Link Key ein Master Key ist, nimmt man für COF die Bluetooth Adresse des Masters (zwei mal hintereinander).
Der Handshake aus den Folien ist ja die Authentifikation, laut Buch reicht eine Richtung, aber man kann auch das Ganze wechselseitig laufen lassen; falls man dies wechselseitig tut, hat man ja auch jedesmal unterschiedliche ACO Werte und somit keine eindeutige Zuweisung des ACO(bzw COF) für die Verschlüsselung. Welchen ACO Wert nimmt man dann fuer den COF?
AFAIK den letzten. Geht es hier um Replay Attacks auf den Encryption Key?
Das White Paper zu Simple Pairing (http://www.bluetooth.com/NR/rdonlyres/0 ... V10r00.pdf)
ist recht neu.
Wie funktioniert das Pairing für alte Bluetooth Geräte ohne Eingabe/Ausgabe ?
Alte Bluetooth Geräte fallen wohl unter "Backward Compatibility" und machen weiter ihr altes Pairing.

Aird
Erstie
Erstie
Beiträge: 13
Registriert: 12. Feb 2006 18:47

Beitrag von Aird » 30. Sep 2007 17:57

Im Buch heisst es :

Zum Thema Authentifizierungs-Vektor:

"5. Zur Verschleierung der Sequenznummer, von der auf die Benutzeridentität geschlossen werden kann, wird schliesslich noch ein 48-Bit langer Anonymitätsschlüssel AK = f5(K,RAND) erzeugt. "

Mir ist nicht ganz klar, wie man von der Sequenznummer auf die Benutzeridentität schliessen könnte.

db
DON'T PANIC
Beiträge: 42
Registriert: 18. Apr 2007 00:37

Beitrag von db » 30. Sep 2007 18:16

Die SQN wird vom AuC einfach inkrementiert, von daher ist bei einer unverschleierten SQN zumindest ein Tracking möglich. Ohne weitere Informationen wüsste ich auch nicht, wie man direkt auf die Identität schließen kann. Aber wenn an einem Punkt a eine Authentifizierung mit SQN X durchgeführt wurde, und an einem anderen Punkt b eine mit SQN X+1, kann man daraus schließen, dass sich der Benutzer von a nach b bewegt hat.

Aird
Erstie
Erstie
Beiträge: 13
Registriert: 12. Feb 2006 18:47

Beitrag von Aird » 30. Sep 2007 19:09

Danke fuer die Informationen.

Cyrtox
Windoof-User
Windoof-User
Beiträge: 41
Registriert: 17. Nov 2005 16:52

Beitrag von Cyrtox » 1. Okt 2007 17:04

Kurze Frage zu WEP und das Berechnen von RC4(K|IV). Im Skript und in der Übung2 wird behauptet, dass man mittels eines RES + RAND Paares RC4(K|IV) berechnen kann: RC4(K|IV) = RES XOR RAND. Das ist verständlich. Nun steht dort aber, dass der Angreifer beim Anmelderequest RES' = (RAND' | CRC-32(RAND')) XOR RC4(K|IV) zurückschicken muss. Ist dies nicht falsch? Wird bei der Anmeldung/Authentifikation überhaupt ein CRC Wert mitgeschickt? Wenn ja, dann müsste dieser ja auch schon im oberen Paar vorhanden gewesen sein. Wenn nein, dann ist das untere falsch... ja was denn nun?

db
DON'T PANIC
Beiträge: 42
Registriert: 18. Apr 2007 00:37

Beitrag von db » 1. Okt 2007 19:01

Hi!

Ihr könnt ruhig neue Beiträge erstellen, wir müssen nicht alles in einen Thread quetschen.

Die MuLö bezieht sich auf das Buch von Frau Eckert (ich habe nur Ausgabe 3, da ist es auf S.830).
RC4(K|IV) = RES XOR RAND gibt uns einfach einen Keystream, was damit verschlüsselt war, ist erstmal nebensächlich.
Zur Berechnung von RES habe ich jetzt folgendes (ieee802.11) gefunden:

8.1.2.3 Shared Key authentication (third frame)
The requester shall copy the challenge text from the second frame into the third frame. The third frame shall be transmitted after encryption by WEP, as defined in 8.2.3, using the shared secret key.


und weiter:

The WEP algorithm is applied to the frame body of an MPDU. The (IV, frame body, ICV) triplet forms the actual data to be sent in the data frame.

Der Empfänger der RES macht dann:

8.1.2.4 Shared Key authentication (final frame)
The responder shall attempt to decrypt the contents of the third frame in the authentication sequence as described below. If the WEP ICV check is successful, the responder shall then compare the decrypted contents of the Challenge Text field to the challenge text that was sent in Frame 2 of the sequence


Es wird also als RES einfach die RAND genommen und per WEP verschlüsselt verschickt. Demnach enhält die RES auch den ICV. Damit der Angreifer eine gültige RES' bekommt, muss er also auch den ICV mittels CRC-32 erstellen.

Ich muss zugeben, die Handhabung von CRC-32 an dieser Stelle ist etwas irreführend. Bei der Herleitung des Schlüsselstroms ist es nicht wichtig, was genau damit verschlüsselt wurde, also fehlt da der ICV. Der Angreifer muss ihn allerdings berechnen, um eine passende RES' zu erhalten, deshalb steht es da drin.

Cyrtox
Windoof-User
Windoof-User
Beiträge: 41
Registriert: 17. Nov 2005 16:52

Beitrag von Cyrtox » 1. Okt 2007 22:06

Naja... also bei der Herleitung spielt das doch sehr wohl eine Rolle? Wenn man RES XOR RAND ausführt, dann ist das doch ein anderer Ergebnis als RES XOR RAND|CRC(RAND)? Klartext XOR Schlüsseltext ergibt Schlüssel. Lässt man aber einen Teil des Klartextes weg kommt ... Müll bei heraus.

db
DON'T PANIC
Beiträge: 42
Registriert: 18. Apr 2007 00:37

Beitrag von db » 1. Okt 2007 22:46

Wenn in unserem RES ein CRC drin steckt, muss man auch mit einer RAND mit CRC xoren, das stimmt.

Cyrtox
Windoof-User
Windoof-User
Beiträge: 41
Registriert: 17. Nov 2005 16:52

Beitrag von Cyrtox » 1. Okt 2007 23:59

Eben und da es sich in beiden Fällen um eine Authentifikation handelt muss es wohl auch an beiden Stellen gleich sein. Also bei beiden ein CRC? Zumindest schließe ich das aus deinem Text. Dachte zunächst bei C-R wäre kein CRC enthalten.

db
DON'T PANIC
Beiträge: 42
Registriert: 18. Apr 2007 00:37

Beitrag von db » 2. Okt 2007 00:08

So würde ich 8.1.2 interpretieren, in 8.1.2.4 steht ja explizit "If the WEP ICV check is successful". Du kannst dich natürlich selbst versichern, das ieee Dokument gibt es zum download. Da CRC eh nicht zur Sicherheit beiträgt (im Gegenteil), sollte uns das aber eigentlich egal sein, zumindest für die Klausur. ;)

Antworten

Zurück zu „Mobile sichere Systeme“